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(57) Abstract: The invention concerns a method for protecting 
a logic circuit (11) contained in a logic unit (1) against attacks 
external to said unit. Said method comprises the following op- 
erations: generating in the unit (I) a programming instruction of 
a program mahlc logic circuit (12) comprised in the logic circuit 
(1 1); loading in the programmable logic circuit (12) in response 
to the programming instruction, a specific programming configu- 
ration (CI ) selected among a plurality of configurations different 
from one another (C 1 , , C4); programming the programmable logic- 
circuit (12) in accordance with the specific configuration (CI). 

(57) Abrege : La prcscntc invention concernc un precede de pro- 
tection d'un circuit logiquc(l 1 ) contcnu dans unc unite logique (1 ) 
conlre des attaqucs exlcricurcs a cctlc unite. Cc proeede comprend 
les operations suivantcs : generation au scin de ('unite (1 ) d'unc 
instruction dc programmalion d'un circuit logique programmable 
(12) contenu dans le circuit logique (II); chargemenl au sein du 
circuit logique programmable (12), en rcponsc a Tinstruction de 
programmalion, d'une configuration de programmalion specifique 
(CI) choisie parmi une pluralite de configurations de programma- 
lion distinctes les uncs des autrcs (CI, C4); programmalion du 



circuit logique programmable (12) selon la configuration specifique (CI). 
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PROCEDE DE PROTECTION D'UN CIRCUIT LOGIQUE CONTRE DES 
ATTAQUES EXTERIEURES, ET UNITE LOGIQUE CONTENANT UN 
CIRCUIT LOGIQUE A PROTEGER CONTRE DES ATTAQUES 
5 EXTERIEURES 

La presente invention concerne un procede de protection d'un circuit 
logique, et par exemple d'un processeur contre des attaques exterieures. Elle 
s'applique notamment, mais non exclusivement, aux microprocesseurs se 
10 trouvant dans les puces des cartes a puce. La presente invention concerne 
egalement une unite logique contenant un circuit logique a proteger contre 
des attaques exterieures, se trouvant par exemple au sein de la puce d'une 
carte a puce. 

De maniere connue, le microprocesseur incorpore dans la puce d'une 
15 carte a puce utilise lors de son fonctionnement un certain nombre de 

programmes. Dans ce fonctionnement, il utilise des donnees provenant par 
exemple de I'exterieur, et des donnees se trouvant dans la memoire de la 
carte. Certaines de ces donnees peuvent etre des donnees confidentielles ; 
c'est le cas notamment du code secret de la carte. Or, durant I'execution 
20 d'un programme par le microprocesseur, ces donnees circulent sur des bus 
et sont done plus aisement detectables. 

Afin de proteger ces donnees, on peut utiliser differentes methodes 
de protection. L'une de ces methodes connues, appelee « scrambling de 
bus » repose sur le chiffrage des donnees qui circulent sur les bus, ce qui 
25 assure un brouillage de bus et done une protection supplemental de ces 
dernieres. 

Cependant, une telle methode est encore vulnerable. En effet, le 
microprocesseur et les circuits logiques contenus dans la puce sont 
constitues de circuits monolithiques dont les fonctionnalites sont figees une 
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fois pour toutes en sortie de fabrication. Ces circuits monolithiques 
comprennent des cellules logiques, telles que des portes, des bascules, des 
entrees-sorties, etc., et des connexions reliant ces cellules, ces connexions 
etant done figees en sortie d'usine. Par consequent, la puissance consommee 
5 par ces circuits lors de chaque utilisation (e'est-a-dire lors de chaque 

execution d'une instruction) ne depend que des donnees echangees entre les 
differentes cellules. 

Ainsi, pour detecter ces donnees, il suffit de solliciter le circuit au 
moyen d'un message destruction puis d'effectuer une analyse de la 

10 puissance consbmrnee lors de ('execution de cette instruction par le circuit. 
En repetant plusieurs fois cette operation et en correlant les donnees 
obtenues a chaque fois, on augmente la quantite d'information concernant 
une donnee observee et Ton finit par la reconstituer. Une telle methode de 
detection est connue sous le nom de Simple Power Analysis ou Differential 

15 Power Analysis, et decrite notamment dans le document WO 99/63693. 
Les donnees contenues dans la memoire de la carte, et plus 
particulierement les donnees confidentielles, doivent done etre protegees de 
maniere plus efficace contre des attaques exterieures visant a les recuperer 
pour ensuite utiliser la carte de maniere frauduleuse. 

20 Par ailleurs, I'analyse microscopique d'un circuit logique a partir de 

celle des bus de connexion de ce dernier, facilement reconnaissables sur le 
silicium, conduit a la detection du fonctionnement logique de ce circuit, et 
permet notamment de le copier plus facilement Meme si des techniques de 
brouillage de bus sont utilisees pour empecher ce genre d'analyses, appelees 

25 aussi attaques invasives, elles ne sont pas assez efficaces. 

La presente invention a done pour but de mettre au point un procede 
de protection d'un circuit logique contre des attaques exterieures, qui assure 
une protection plus efficaces que ceux de I'art anterieur contre les attaques 
par analyse de consommation ou les attaques invasives. 
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La presente invention propose a cet effet un procede de protection 
d'un circuit logique contenu dans une unite logique contre des attaques 
exterieures a ladite unite, ledit procede comprenant les operations 
suivantes : 

5 • generation au sein de ladite unite d'une instruction de programmation 
d'un circuit logique programmable contenu dans ledit circuit logique 

• chargement au sein dudit circuit logique programmable, en reponse a 
ladite instruction de programmation, d'une configuration de 
programmation specifique choisie parmi une pluralite de configurations de 

10 programmation distinctes les unes des autres 

• programmation dudit circuit logique programmable selon ladite 
configuration specifique. 

Un circuit logique programmable est un circuit integre qui n'a pas de 
fonctionnalite figee en sortie de fabrication. C'est seulement apres la 

15 fabrication, lors d'une phase de programmation, que ce circuit prend sa 
fonctionnalite. Cette programmation peut, de maniere generate pour les 
circuits logiques programmables, etre effectuee dans un programmateur, ou, 
comme c'est le cas selon la presente invention, « in situ ». Cette 
programmation modifie les connexions reliant les cellules logiques du circuit 

20 entre elles. 

Les circuits logiques programmables rendant possible ce type de 
programmation (« in situ ».) par chargement depuis I'exterieur du circuit sont 
notamment les circuits logiques programmables utilisant la technologie de 
programmation SRAM (Static Random Access Memory). 

25 Selon I'invention, pour proteger un circuit logique contre des 

attaques exterieures telles que celles decrites plus haut, on incorpore a ce 
dernier un circuit logique programmable. Une instruction de programmation 
du circuit logique programmable est generee et envoyee a ce dernier, de 
sorte qull va chercher une configuration de programmation parmi un certain 

30 nombre de configurations de programmation possibles, par exemple 
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embarquees aii sein d'une carte a puce, et se pogramme selon cette 
configuration. 

On appelle configuration de programmation dans le cadre de la 
presente invention la programmation des cellules logiques (fonctions logiques 
5 simples, multiplexeurs, bascules, entrees-sorties, etc..) du circuit logique 
programmable, afin de leur donner une fonctionnalite, ainsi que celle de la 
matrice d'interconnexion entre ces cellules. 

Ainsi, selon I'invention, le circuit logique a proteger comporte au 
moins une partie qui n'est pas programmee a I'avance, c'est-a-dire qui n'est 
10 done pas figee a I'avance, et se programme selon une configuration donnee, 
embarquee. La configuration et le profil de puissance du circuit 
programmable changent done regulierement. 

Lors d'une tentative d'attaque exterieure par analyse de la puissance 
consommee, cette derniere, qui depend de la configuration du circuit 
15 logique, pourra done etre differente a chaque fois. Ainsi, on rend beaucoup 
plus difficile et longue la recherche des informations confidentielles 
contenues dans une carte contenant un tel circuit logique. 

Par ailleurs, lorsque le circuit est au repos, c'est-a-dire qu'il n'est pas 
alimente, sa partie circuit logique programmable se comporte comme une 
20 boTte noire (les cellules logiques ne sont pas reliees entre elles), de sorte 
qu'aucune attaque invasive n'est possible. En effet, ii n'est alors pas possible, 
par simple analyse des circuits connectes aux bus, de retrouver les fonctions 
logiques du circuit. 

Selon un mode de realisation de I'invention, I'operation de generation 
25 d'une instruction de programmation peut etre effectuee a des instants definis 
par I'unite logique, par exemple de maniere periodique suivant un signal 
d'horloge (provenant par exemple d'une horloge de I'unite logique), ou de 
maniere aleatoire ou quasi-aleatoire (en utilisant par exemple une focntion 
Random ou Pseudo-Random), ou encore a chaque mise sous tension du 
30 circuit logique a proteger. Ainsi, la generation des instructions de 
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programmation est-decidee de maniere autonome par I'unite logique, et n'est 
pas programmee de I'exterieur, ce qui rend les attaques encore plus difficiles. 

En outre, I'unite logique peut etre programmee de sorte que le 
procede selon 1'invention est mis en oeuvre lors de chaque reception d'une 
5 instruction devant mettre en oeuvre le circuit logique a proteger, et avant 
que ce dernier ne soit active. Ainsi, a chaque utilisation du circuit logique, 
consecutive a la reception d'une instruction exterieure, la puissance 
consommee par ce circuit logique est differente, son implementation logique 
etant differente, et une protection du circuit logique contre une attaque par 
10 analyse de la puissance consommee est ainsi realisee. 

De maniere avantageuse, le choix de la configuration de 
programmation specifique parmi les configurations configurations possibles - 
peut etre effectue de maniere aleatoire lors de chaque mise en oeuvre du 
procede selon I'invention. On accroit ainsi la protection du circuit logique. 
15 La presente invention concerne egalement une unite logique 

comprenant : 

• un processeur 

• un circuit logique protege contre des attaques exterieures a ladite 
unite 

20 • une memoire 

caracterisee en ce que ledit circuit logique comprend un circuit logique 
programmable contenant des cellules logiques et des connexions reliant 
lesdites cellules logiques, en ce que ladite memoire contient une pluralite de 
configurations possibles pour ledit circuit logique programmable, et en ce 

25 que ladite unite comprend egalement des moyens pour generer des 
instructions de programmation dudit circuit logique programmable. 

Une telle unite permet de mettre en oeuvre le procede selon 
I'invention enonce ci-dessus. 

Selon I'invention, cette unite peut en outre comprendre un 

30 generateur de nombres aleatoires, qui accroit la protection puisque chaque 
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configuration est alors choisie de maniere aleatoire et done tres difficilement 
predictible. 

Le circuit logique a proteger peut etre contenu notamment dans le 
processeur de cette unite. On protege ainsi de maniere accrue certaines 
5 fonctions du processeur. Le circuit logique a proteger peut egalement etre 
contenu au sein d'un dispositif de securisation deja present au sein de I'unite 
logique, comme par exemple un crypto-coprocesseur. 

De maniere avantageuse, le circuit logique programmable est un 
FPGA (Field Programmable Gate Array). 
10 Selon I'invention, le circuit logique programmable utilise peut 

egalement etre re-programmable. Ceci permet de modifier sa configuration 
lors de chaque execution d'une instruction exterieure. Dans ce cas, on choisit 
par exemple un circuit logique programmable a EPROM (Erasable 
Programmable Read Only Memory) et/ou a SRAM. 
15 Une application possible de I'invention se situe dans le domaine des 

cartes a puce. Ainsi, une unite selon i'invention peut etre contenue dans la 
puce d'une telle carte. 

D'autres caracteristiques et avantages de I'invention apparaitront 
dans la description ci-apres d'un mode de realisation de I'invention, donne a 
20 titre illustratif et nullement limitatif. 

La figure unique represente de maniere schematique une carte a 
puce contenant un dispositif de protection fonctionnant selon le procede de 
I'invention. 

On voit dans cette figure une unite logique sous forme de puce 1 
25 pour carte a puce, comprenant : 

• un microprocesseur 10, 

• un circuit logique 11 a proteger, contenant un circuit logique 
programmable 12, tel qu'un FPGA (Field Programmable Gate Array) par 
exemple, 
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• une memoire 13 contenant notamment une pluralite de configurations 
possibles CI a C4 pour le circuit logique programmable 12 

• un generateur 14 de nombres aleatoires (qui genere de maniere aleatoire 
un index de configuration) 

5 • une interface 15 de la carte 1 avec I'exterieur 

• un circuit d'horloge 16. 

Le circuit logique 11a proteger peut etre tout circuit de la carte, et 
par exemple tout ou partie d'un crypto-coprocesseur (tel que celui decrit 
dans le document mentionne plus haut), le microprocesseur lui-meme ou 
10 tout autre circuit que i'on souhaite proteger contre des attaques exterieures. 

Un circuit FPGA 12 utilise dans le mode de realisation presente sur la 
figure en tant circuit logique programmable comprend, de maniere connue et: 
non representee, une pluralite de cellules logiques telles que des portes, des 
bascules, des entrees-sorties, etc... et des connexions reliant entre elles ces 
15 cellules logiques. De tels circuits sont classiques et commercialises a I'heure 
actuelle par de nombreuses societes. 

Le FPGA 12 est re-programmable. 

On explique a present le fonctionnement de la carte a puce 1 et la 
maniere avec laquelle le circuit logique 11a proteger est protege selon 
20 ['invention. 

De maniere periodique, en fonction notamment du signal d'horloge 
emis par le circuit d'horloge 16, le microprocesseur 10 genere une instruction 
de programmation du FPGA 12. Cette instruction de programmation est 
envoyee au FPGA 12 et en meme temps au generateur de nombres 

25 aleatoires 14. Ce dernier pointe alors, selon le nombre aleatoire genere, sur 
I'une des configurations CI a C4, par exemple sur la configuration CI. 

Le FPGA 12 va ensuite (ou en parallele) chercher sa configuration au 
sein de la memoire 13, en suivant le pointage genere par le generateur de 
nombres aleatoires 14. Dans I'exemple choisi, le FPGA 12 regoit 

30 done Instruction de se configurer selon la configuration CI, et execute cette 
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instruction de sorte que ses cellules logiques sont maintenant reliees et 
programmers selon la configuration CI. 

Dans cet exemple, on a decrit la generation par le microprocesseur 
10 d'une instruction de programmation du FPGA 12 de maniere periodique 

5 en fonction d'un signal d'horloge. Ceci permet au FPGA 12 d'etre 

reprogramme par « decision » interne a la puce, sans 1'intervention d'aucune 
instruction exterieure de programmation, et rend done le precede selon 
I'invention tres efficace. 

Le meme resultat peut etre obtenu en programmant par exemple a 

10 I'avance le microprocesseur 10 pour qu'il genere des instructions de 
programmation du FPGA 12 a des instants predefinis, ou a des instants 
aleatoires ou quasi-aleatoires. On peut aussi prevoir que chaque mise sous 
tension du microprocesseur 10 entraine la generation par ce dernier d'une 
instruction de programmation du FPGA 12. 

15 Par ailleurs, on peut encore prevoir que lorsqu'une instruction 

provenant de I'exterieur de la carte a puce 1 est transmise a cette derniere 
par I'intermediaire de I'interface 15 et doit etre executee par le circuit logique 
11, le microprocesseur 10 genere aussi une instruction de programmation du 
FPGA 12 et le procede selon I'invention est mis en ceuvre avant que 

20 I'instruction provenant de I'exterieur de la carte soit executee. 

Lorsqu'une autre instruction destinee a etre executee par la carte 1 
est transmise a cette derniere par I'intermediaire de I'interface 15, le procede 
ci-dessus se reproduit, et ainsi de suite. 

Grace a I'utilisation du generateur de nombre aleatoires 14, la 

25 configuration du FPGA 12 change de maniere aleatoire lors de chaque 
instruction a executer par le circuit logique 11. 

De la meme maniere, le circuit d'horloge peut envoyer directement 
au FPGA 12 et au generateur de nombres aleatoires 14 une instruction de 
programmation, soit de facon periodique (en fonction par exemple de la fin 

30 de comptage d'un timer), soit en fonction de la detection d'une situation 
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particuliere dans le circuit 11a partir de I'etat de signaux internes, soit en 

fonction d'un reset, soit encore en fonction de la reception d'une commande 

particuliere venue de I'exterieur. 

Ainsi, comme explique plus haut, des attaques exterieures par 
5 analyse de la consommation du circuit logique 11 sont rendues tres difficiles 

du fait du changement quasiment non predictible de la configuration du 

FPGA 12 que contient ce dernier. 

Par ailleurs, il est a noter que lorsque le FPGA 12 n'est pas sous 

tension, c'est-a-dire lorsqu'il n'est sollicite par aucune instruction exterieure, 
10 ies connexions entre ses cellules logiques sont inexistantes, de sorte qu'il 

apparait comme une bofte noire (on dit aussi « mer de portes ») et rend 

done impossibles Ies attaques invasives. II doit alors etre reprogramme lors 

de chaque mise sous tension. Cest le cas notamment lorsque la technologie 

SRAM est utilisee dans le FPGA. 
15 Bien entendu, le mode de realisation qui vient d'etre decrit ne 

constitue qu'un exemple duplication du procede selon I'invention, et Ton 

pourra remplacer tout moyen par un moyen equivalent sans sortir du cadre 

de I'invention. 

Notamment, on pourra remplacer le generateur de nombres 
20 aleatoires par une programmation predefinie de la suite des configurations 
que le circuit logique programmable doit adopter. 

Par ailleurs, Ies instructions de programmation envoyees au circuit 
logique programmable peuvent provenir du microprocesseur, ou d'une 
fonction logique embarquee dans la carte, dite generateur destructions de 
25 programmation 17, detectant une information circulant dans la carte et 
agissant de maniere autonome. 

Le circuit logique programmable selon I'invention peut etre incorpore 
dans toute zone sensible de la carte, que Ton veut proteger. 

Enfin, le circuit logique programmable utilise selon ['invention peut 
30 etre choisi parmi tout type de circuit logique programmable connu, comme 
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notamment les CPLD (Complex Programmable Logic Device), SPLD (Simple 
Programmable Logic Device), PLA (Programmable Logic Array). 

Tout autre type de circuit logique programmable que ceux 
mentionrtes ci-dessus peut egalement etre utilise dans le cadre de 
5 I'invention. 

Enfin, on pourra remplacer tout moyen par un moyen equivalent 
sans sortir du cadre de I'invention. 
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REVENDICATTONS 

Procede de protection d'un circuit logique (11) contenu dans une unite 
logique (1) contre des attaques exterieures a ladite unite, ledit procede 
comprenant les operations suivantes : 

• generation au sein de ladite unite (1) d'une instruction de 
programmation d'un circuit logique programmable (12) contenu 
dans ledit circuit logique (11) 

• chargement au sein dudit circuit logique programmable (12), en 
reponse a ladite instruction de programmation, d'une 
configuration de programmation specifique (CI) choisie parmi une 
pluralite de configurations de programmation distinctes les unes 
des autres (CI, C4) 

• programmation dudit circuit logique programmable (12) selon 
ladite configuration specifique (CI). 

Procede selon la revendication 1 caracterise en ce que I'operation de 
generation d'une instruction de programmation est effectuee a des 
instants definis par ladite unite logique (1). 

Procede selon la revendication 2 caracterise en ce que I'operation de 
generation d'une instruction de programmation est effectuee de 
maniere periodique ou de maniere aleatoire ou quasi-aleatoire, ou 
encore a chaque mise sous tension dudit circuit logique. 

Procede selon Tune des revendications 1 a 3 caracterise en ce qu'il est 
effectue lors de chaque reception par ledit circuit logique (11) d'une 
instruction exterieure audit circuit logique (11) a executer par ledit 
circuit logique (11), avant I'execution de ladite instruction exterieure. 
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5. Procede selon Tune des revendications 1 a 4 caracterise en ce que le 
choix de ladite configuration specifique est effectue de maniere 
aleatoire iors de chaque mise en oeuvre dudit procede. 

6. Unite logique (1) comprenant : 
5 • un processeur (10) 

• un circuit logique (11) protege contre des attaques exterieures a 
ladite unite (1) 

• une memoire (13) 

caracterisee en ce que ledit circuit logique (11) comprend un circuit 
10 logique programmable (12) contenant des cellules logiques et des 

connexions reliant lesdites cellules logiques, en ce que ladite memoire 
(13) contient une pluralite de configurations possibles (CI, C4) pour 
ledit circuit logique programmable (12), et en ce que ladite unite (1) 
comprend egalement des moyens (10, 16, 17) pour generer des 
15 instructions de programmation dudit circuit logique programmable (12). 

7. Unite selon la revendication 6 caracterisee en ce qu'elle comprend en 
outre un generateur de nombres aleatoires (14). 

8. Unite selon Tune des revendications 6 ou 7 caracterisee en ce que ledit 
circuit logique (11) est contenu dans ledit processeur (10). 

20 9. Unite selon Tune des revendications 6 a 8 caracterisee en ce que ledit 
circuit logique programmable (12) est un FPGA (Field Programmable 
Gate Array). 

10. Unite selon la revendication 9 caracterisee en ce que ledit FPGA est du 
type a EPROM et/ou a SRAM. 

25 11. Unite selon Tune des revendications 6 a 10 caracterise en ce que ledit 
circuit logique programmable (12) est re-programmable. 
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12. Unite selon I'une des revendications 6 a 11 caracterisee en ce que ledit 
generateur destructions de programmation est ledit processeur (10). 

13. Unite selon I'une des revendications 6 a 12 caracterisee en ce qu'elle 
appartient a la puce d'une carte a puce. 
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